Citind CISA Review Manual 2010 am ajuns la o întrebare legată de controale compensatorii: ce control compensator diminuează riscul că……

Auditorul evaluează controale: cum sînt proiectate şi cum funcţionează. Atunci cînd nu sînt identificate controalele aşa cum sînt ele prezentate prin diferite materiale, auditorul caută să identifice dacă există “altceva” ce poate contribui la atingerea obiectivului. În acest caz avem de a face cu “controale compensatorii”.

“Compensating Control -An internal control that reduces the risk of an existing or potential control weakness resulting in errors and omissions. ”

De cele mai multe ori în practică nu poate fi asigurată separarea sarcinilor de serviciu: separarea activităţilor implicate de o tranzacţie între mai mulţi angajaţi (n.b. nu am folosit termenul tranzacţie în sens economic). Este situaţia tipică în care trebuie să apară controalele compensatorii.

Chiar dacă “puţin este mai mult decît nimic”, nu trebuie să uităm că aceste controale apar, se manifestă, după ce tranzacţia a avut loc! Ca efect, este posibil să fie nevoie de mai multe resurse pentru a repara ceea ce s-a stricat ca urmare a nefuncţionării/inexistenţei unui control. Dacă în cazul controalelor clasice putem obţine garanţii cu privire la corecta lor funcţionare, în cazul controalelor compensatorii acest lucru este mai dificil de realizat. Nu putem şti de exemplu dacă revizuirea unor loguri SQL server se va face la fel de bine luna viitoare. La fel de complet dacă nu există un instrument software.

Poate un control compensator să ofere acelaşi grad de încredere ca un control clasic? Elimină/diminuează aceleaşi riscuri?….